医院综合信息系统网络安全体系设计概述

医院综合信息系统网络安全体系设计概述医院综合信息系统网络安全体系设计概述 双击自动滚屏发布者 发布时间 2006 11 9 20 10 38 阅读 874 次 作者 王唐虎 摘要 随着网络应用的不断发展 网络安全问题也变得越来越重要 本文结合实际工作中的应 用 对网络安全体系设计中的指导原则 安全需求 用户授权体系 网络安全措施等内容做了详 细的叙述 关键词 信息系统 网络安全体系 异地备份 操作系统 防火墙 网络的普及给我们的生活 学习带来了很大的便利 但同时隐藏在 便利和高效后面的是巨大的安全隐患 我院信息系统中的信息种类 数量是巨大的 其中不乏敏感 机密 实时信息 数据库服务器 24h 不间断运行 整个网络系统 一旦发生人为或意外的故障 可能会造成巨大的损失和社会影响 1 这就要求医院应将综合信 息网安全体系设计放在重要的位置 1 1 指导原则指导原则 医院综合信息网安全体系的建立 应以信息的安全需求为核心依据 网络安全的主要目标是 针对窃取信息 破坏信息 篡改信息和污染信息的人为因素 针对整个系统中各种信息的关键性 及敏感程序 合理评价其安全级别 全面确定系统的安全策略 建立一套完整的安全体系与保证 体系 安全体系设计原则 1 安全需求与安全管理相结合 2 安全体系建设与应用系统建设 同步进行 3 安全策略的制定要综合考虑网络系统的安全支持 4 安全方案的选择和实施 要尽量全面 5 安全策略的实施最终要与目录服务相结合 做到集中授权管理 2 2 安全需求安全需求 要实现医院综合信息网在全院各部门的广泛应用 目标是在保证具有足够开放性的前提下提 供信息资源的保密性 完整性和可靠性 1 保密性 防止非法侵入未审查的信息 2 完整 性 对信息数据的准确性和完整性有保护的能力 3 可靠性 保证信息和其他重要资源在需要 时能供用户使用 3 3 用户授权体系用户授权体系 授权权限有读 写 创建 修改 添加 删除等 信息权限设计要尽量复杂 要在信息共享 的实现中完善 数据库和文件系统可支持非常复杂的权限控制 1 标识 针对不同的科室部门 人员设立用户和用户组 2 验证 在网络环境下 要防止用户非法冒充的可能 3 介入控 制 通过集中或分布式控制 对文件系统或数据库系统配置权限 4 审查 系统的安全性必须 经过检验 4 4 网络安全措施网络安全措施 一个完善的综合信息网由桥 路由器和网关分隔不同级别的边界 随着网络范围的缩小 用 户间 节点间的信任程序增强 组织授权级别也大致相同 因而来自内部的威胁相对减少 我院 综合网络设计的布局合理性体现在 主干网以千兆光纤为主干 以门诊 住院处 外科楼 内科 楼及干部楼为两级结节的网络架构 层层级连 建立在一个主域控制下的医院数据网络系统 信 息中心配有两机冗错加磁盘阵列 备份软件 HA roses 确保数据安全 2 同时配备有一台 防火墙服务器 装有当今最为流行 高效 可移植性的网络杀毒软件 赛门铁克 Symantec AntiVirus Enterprise Edition 8 0 选择了赛门铁克产品建立医院全方位多平台网络防毒杀毒 体系 不仅可以确保系统安全运行 也可最大限度地保证用户的投资 4 1 操作系统安全措施 4 1 1 服务器系统安全 操作系统安全控制策略主要是利用用户识别和认证 存取控制和监 控审查机制增强安全性 在综合信息网中的服务器的主要操作系统有 SUN OS 和 WINDOWS NT 两 者都是经过认证的 C2 安全级的操作系统 均提供分布集中化的安全管理功能 主要有 1 本 地安全管理 2 安全账户管理 3 安全监控参数 4 安全登录认证 5 存取控制列 表 4 1 2 客户机系统安全 综合信息网客户机几乎全部是 PC 机 由于微机放置的分散性 它 的安全控制须得以加强 1 加强用户责任意识 注意微机的物理介入控制 2 设置 CMOS 系 统启动口令 3 设置屏保口令 4 对关键文件进行加密存储 5 定期备份关键文件或异 地磁盘存储 6 防止病毒感染 4 2 数据库系统安全措施 我院针对数据库系统的保护采取了两机热备份和异地备份方案 4 2 1 保障数据库系统的完整性 数据库系统的物理完整性 即保障数据库物理存储介质及 物理运行环境的正确与不受侵害 数据库系统的逻辑完整性包括数据库结构完整性及数据库主码 完整性两个方面 4 2 2 数据库系统的安全保护性 数据库系统的用户身份鉴别 保证每个用户是合法的 且 是可以识别的 数据库的存取控制 即控制主体对客体的访问 拒绝非授权访问 防止信息泄露 数据库管理系统的安全保护 主要集中在对数据库的存取控制上 4 2 3 数据库的保护和恢复 对系统进行维护时 应采取保护措施 如数据转储 我院采用 的异地备份就是很好的例子 远程维护时 应事先通知相关用户 对系统进行预防维护或故障维 修时 必须记录故障原因 维修对象 维修内容和维修前后状况等 数据库恢复的措施 建立自 动的备份任务 即在每天数据库不忙的时候进行 如在夜间 24 时左右备份前一天的全部数据 并 要保证数据备份的连续性和完整性 一旦有故障发生时可恢复至备份前一刻的数据 同时我院引 进的异地备份 可完成数据灾难恢复 数据灾难恢复的重要性 灾难恢复同普通数据恢复的最大 区别在于 在整个系统都失效时 用灾难恢复措施能够迅速恢复系统 而普通数据恢复则不行 如果说系统也发生了失效 在开始数据恢复之前 必须重新装入系统 也就是说 数据恢复只能 处理狭义的数据失效 而灾难恢复则可以处理广义的数据失效 见表 1 表 1 无备份 无灾难恢复和有灾难恢复的比较 略 备份策略方案 采用父 子备份策略 即每日备份采用差分备份 即周一进行一次系统完全备 份 然后在接下来的几天里 再将当天所有与周一不同的数据 新的或经改动的 备份到磁带上 每周再进行一次全备份 与祖 父 子备份策略相比 这种备份策略管理人员每周需更换一次磁 带 但相比较而言 其设备投资额却极大地节约了 使用磁带库 4 盘磁带做每日备份 2 盘用于 每周备份 另一盘配置清洗带清洗磁头 也可使用 HP DAT 磁带库 5 盘 DDS 3 磁带分别用来备份 周一 周五的数据 1 盘清洗带则可用来清洗磁头 父 子备份策略的灾难恢复也很方便 管理人 员只需两盘磁带 即周一磁带与灾难发生前一天磁带 就可将系统恢复 4 3 Web 服务安全 随着 Internet 的普及和发展 为防止内部网络不被入侵 企业内部网在 接入时必须利用防火墙来保护内网 防火墙实际上是隔离技术 它在两个网络通信是执行的一种 访问控制手段 最大限度地阻止网络中的黑客访问 防止他们更改 复制和毁坏重要信息 3 我院引用电信宽带 10M 联入局域网 采用一台装有 windows2000 的服务器作为防火墙 内外网配 有不同的 IP 地址 以确保内网的安全 4 4 病毒防范措施 随着计算机及网络技术的快速发展 防毒必行 1 建立防病毒体制 和规章制度 2 实行严格的用机制度 3 实行安全的备份制度 4 设立网络防病毒系统 采用 以防为主 以杀为辅 防杀结合 软硬件互补 的反病毒模式进行预防 研究医院管理系统信息安全问题 整合相应的应用系统 制定医院管理系统信息遭受外部攻击时 的防范与系统恢复措施等信息安全战略是医院信息化工作的重要内容 医院网络信息系统平台的构建医院网络信息系统平台的构建 双击自动滚屏发布者 发布时间 2006 11 5 19 45 28 阅读 1336 次 作者 栾松兰 北京回龙观医院计算机中心 摘要 医院信息化建设水平已经成为现代化医院的重要标志 是医疗体制改革特别是医 疗保险制 度改革顺利实施的基本保障 随着医院信息化建设进程的加速 医院信息系统 HIS 建设正在 从以收费为核心的管理信息系统 HMIS 逐渐转向以病人为中心的临床信息系统 CIS 以进一 步满足病人不断增长的医疗服务需求 原有的信息系统平台 无论是网络 带宽 网络设备 还是 服务器性能以及存储体系等 都严重影响了医生工作站 护士工作站 电子病历系统 LIS PACS 等业务开展 本文首先对当前网络系统 服务器和存储系统的现 状和应用需求做了详 细分析 以此为基础提出了医院信息系统整体升级改造方案 并重点阐 述了负载均衡 集群 SAN 存储架构等先进技术的具体实现方法 较好地解决了网络性能 稳定性 数据安全可靠性等 瓶颈问题 关键字 医院 HIS 平台构建 第一章 绪论 医院信息系统 Hospital Information System HIS 是现代化医院必不可少的重要 基础设施与 支撑环境 而 HIS 平台建设又是系统正常 高效运行的基本保障 HIS 平台是指运行 HIS 的系统软件和硬件环境 主要包括网络系统 网络布线 网络设 备和网络 操作系统 主机系统 服务器 客户机或工作站 存储体系 网络安全系统等 随着医疗体 制改革特别是医疗保险制度改革的深入 作为病人医疗信息的拥有者和提供者的 医院地位已经渐 渐地由主动变得被动起来 原来简单的医 患双边关系转换为医院 患者 保险 单位 银行复 杂的多边关系 这就要求 HIS 不仅仅要及时 准确地向医保部门提供病 人结算数据报表 同时也 必须能够提供合法的 合格的 保证医院利益的相关临床信息 因 而 HIS 建也要相应地从以收 费为核心的管理信息系统 Hospital Management Information System HMIS 逐 渐 转 向 以 病 人 为 中 心 的 临 床 信 息 系 统 Clinical Information System CIS 以进一 步满足病人不断增长的医疗服务需求 客观上来说 2003 年突如其来的那场 SARS 确实给我们带来了一场灾难 却恰恰暴漏出 卫生信息 系统建设的严重缺陷 面对突发公共卫生事件而显得无能为力 也正是由于这个 原因 卫生信 息系统建设才再度受到党和国家各级政府的高度重视 HIS 面临着又一个具有 重大意义的挑战 基于以上两个主要原因 近二年医院信息化建设的进程明显加快 不论是医疗保险制 度改革带给 医院的压力 还是 SARS 给予医院信息化建设的带来了机会 HIS 平台的升级改 造总是首当其冲 要进行的 这是解决网络系统安全和数据安全 保证 HIS 应用不断拓展和高 效运行的前提 也是 数字化医院建设的基础 第二章 系统现状及需求分析 北京回龙观医院是我国最大的精神医学专科医院之一 占地平方米 有病床 1369 张 是北京市卫 生局直属三级甲等医院 医院的特点是 门诊量不大 住院病员数多 从数据量上看 日均门诊 量 150 200 人 若按每个门诊病人有 10 16K 的数据量来计算 一天的 门诊所产生的数据大致 有 1 5MB 3 2 MB 全年在 547MB 1168MB 住院病人的医嘱变化较少 医嘱执行的时间长 若 按 1500 1800 人的住院人数来计算 每个病人有 12 2OK 的数据量 一天所产生的数据大致有 18MB 36MB 全年在 6570MB 1314OMB 从 2002 开始 医院正式运行由北京众邦慧智公司开发的医院信息系统 CHIS2000 主 要模块 包括 门急诊挂号系统 门急诊划价收费系统 门诊和住院药房管理系统 药库管理 系统 住院 病人入出转管理系统 住院收费系统 病人医嘱处理系统 医技科室计费系统 物资设备管理系 统等 客观地说 引进的这些模块是以收费为核心的 HMIS 系统采用的是目 前国际上比较先进的 C S 体系结构 运行在 Windows 2000 和 SQL Server2000 的平台上 为患 者提供一年 365 天 一 天 24 小时的不间断服务 2 1 网络服务器现状分析 服务器系统是医院业务系统正常运行的关键 其性能 可靠性 安全性和稳定性是最根 本的问题 我院原有两台 HP LH3000 服务器 每台的配置为两颗 PIII800 CPU 2G 内存 一台作为 主服务器 另一台做冷备 由于医院的业务量和业务种类不断的增加 原有的服务器负荷加 重 尤其是在医 院业务高峰期早 8 10 点测试 大部分时候 CPU 的占用率都超过了 50 有时 瞬间会超过 100 持续 2 3 秒后回落 客户端有明显长时间停滞 短时间内无法提交作业 通过测试分析 造成 目前 CPU 压力较大的原因 第一 高峰客户端集中 数据交换量激增 第二 现有服务器性能也 无法满足医院不断增长的业务需求 第三 由于采用的是 DAS 构架 磁盘 I 0 读写也要消耗系统 资源 综合起来 主要问题是服务器和存储系统性能低下 已经 不适合作为系统的主要业务的核 心服务器 2 2 网络设备现状分析 我院现有网络设备状况是 核心交换机为一台 Cisco Catalyst 4006 模块化交换机 引 擎配置为 WS X4014 三代引擎 Supervisor 配有两块 WS X4306 GB 共有 12 个千兆多模光 纤接口 两 块千兆模块分别插在第二和第三个槽上 其中第一个千兆模块上有 6 块 5484 其 中 4 块用于与其 他四幢楼相联 有两个千兆卡空余 另有一块 48 口百兆 RJ45 模块 已经用满 另外有一台 Cisco2600 系列的路由器作为远程接入 其中 5 号楼有两台 Cisco 2950G 24 级联交 换机 4 号楼 用一台 Cisco 2950G 24 交换机与普通交换机级联 2 号楼有一台 Cisco 2950G 24 交换机 电话 机房还有一台 VDSL3100 交换机级联一台普通 8 口交换机 通过对高峰期网络流量和网络核心交换机的性能测试 在早 8 点到 10 点 登录该核心交 换机 看到 CPU 的利用率为 4 6 内存的利用率为 30 远远没有达到该交换机的最高性能 交换机 资源充足 尽管在数据交换能力上 可以满足当前以至今后几年业务发展需求 但是 由于没有 冗余设计 一旦发生问题 会导致整个网络瘫痪 因此 存在着单点故障 下面是 原系统的网络 拓扑图 综上所述 由于 HMIS 应用范围在不断扩大 以病人为中心的临床信息系统如医生工作站 系统 电子病历系统 LIS PACS 等的开发应用正在逐步加深 基于网络环境下的其它应用 如办公自动 化系统 数字图书馆等也相继展开 现有服务器和存储系统性能相对滞后和老化 整个系统的负 载能力开始明显不足 系统设计上存在多个单点故障 而任何一个单点故障都 会造成整个系统瘫 痪 使医院出现大面积的业务停滞 医院的声誉和收入将受到巨大损失 因此 对医院的整个系 统平台进行一次大规模的升级改造 势在必行 第三章 系统建设原则和总体设计目标 3 1 系统建设原则 统一规划 分布实施 医院信息系统是一项规模大 投资多 涉及面广的系统工程 必须统一规划 在充分进行需求分析的基础上 设定系统建设的目标 内容和规范 避免盲目建设 重复建设的 投资 风险 另一方面 系统建设应该分步实施 做到边投资 边建设 边使用 边见效 产生良 好的综合效益 先进性和实用性的统一 系统的建设应该从实际使用出发 采用目前成熟的技术 加快系统开发的 进度 减少投资风险 同时 采用的技术必须是先进的 可扩充 可升级的 从切合医院实际业 务应用出发 解决医院现代化综合信息管理的各种需求 易学 易用 易于维护 注重实用效果 可靠性和稳定性 平台系统应具有强大的容错能力 例如 关键设备采用冗余设计 重要干线采 用双路连接 以便当通讯线路或其它网络部件发生故障时 保证网络系统正常运行 保证系统的 365 24 正常运行 并提供系统异常情况下的后备解决方案 提供网络防病毒系统 入侵检测 防 火墙 存储备份 冗余容灾设计和网管软件解决方案 开放性和可扩充性 系统网络结构应易 于扩充 以满足今后不断增加的用户端的需求和可能出现的较大任务负载 硬件平台亦应具有可 升级性 当需要时可通过新的计算机设备同原有计算机设备一 起工作以提高系统的处理能力 从 而最大限度地保护医院现有投资 3 2 系统总体设计目标 系统升级改造后 信息存储 处理 传输能力大幅度提升 大大增强了 HIS 后台的整体 负载能力 整个系统在安 全性 可靠性 扩展性和可维护性等方面将得到明显的改善 系统 将以更快的速度和质量为医疗 财务 行政和 后勤管理服务 确保网络更具有前瞻性 可以 为 HIS 系统提供稳定的运行环境以及灵活的扩展空间 第四章 系统详细设计和实现 4 1 双机集群热备系统 服务器是 HIS 系统正常运行的硬件平台 其可靠性 可用性和运行效率直接决定 HIS 系统 稳定性 在设计中重点考 虑其后台环境的升级 高性能的双机集群热备系统 整体综合考虑 了基于 C S 体系结构的特点 根据实际需要和 特点及存储的特殊性有机的加以设计 使系 统安全有效地运行 结合我院目前的实际情况 双机热备系统我们采用 HP 最新的机架式 HP DL580G2 服务器 2 台 数据库运算由其中 一台主服务器负担 采用高性能的 4 路服务器 配置 4 颗 CPU 热备份 服务器配置 2 颗 CPU 服务器本地各配置 2 块 72GB 的硬盘 采用 RAID1 磁盘镜像方式 确保 系统盘数据可靠性 将硬盘划分为 C D 两个盘卷 内存配置 为 4GB 今后可以最大扩展到 32GB 2 台服务器分别连接至共享的光纤阵列柜 HP MSA1000 上 另外 考虑到系 统的最大冗余 选用一台原有的 LH3000 作为冷备服务器 一旦双机系统出现故障 可以迅速手工切换到该服务器 上运行 HIS 这台服务器连接一台磁带机做磁带 备份 同时安装 Windows 2000 的活动目录 AD 服务 作为整个 HIS 系统的域控制器 另外 用一台较高性能的 PC 作为备份域控制器 以提高整个域的可用性 另一台 LH3000 作为网络防病毒系统 图书情报检索 防火墙系统 OA 以及 WEB 应用服务器 每台 HP DL580G2 服务器上 均标配了 1 块千兆光纤 NC6770 接口网卡 作为网络访问使用 使用的 NC7771 作为心 跳连接 4 2 双机热备系统集群功能实现 系统设计的集群实时热备份通过 Windows 2000 Advanced Server 的 Cluster 集群功能 实现 Microsoft Cluster Server MSCS 连接两台服务器 以便它们的数据可以作为一个单独的系统来被访问和管理 合 成的集群组成了在两台服务器 节点 之间的网络连接 而且每 个节点连接到一个共享的光纤阵列柜上 应用数据 被存储在这里 MSCS 可自动探测到一个节 点失效并做节点切换 正在使用的用户只会经历一个瞬间的停顿 MSCS 可提供服务器容错处理并且提高系统的可用性 为了保持网络正常工作 采取周 期性备份 监视潜在服务或 者服务器储运损耗的办法 并且快速解决影响系统可用性的问题 确保系统的可管理性 可伸缩性以及可用性 4 3 存储系统 采 用 现 今 世 界 最 为 先 进 的 光 纤 通 道 存 储 架 构 存 储 区 域 网 络 Storage Area Network SAN 即通过光纤通道将应用层 数据层 浏览层和存储设备有机地结合在一起 完全独立于上层服务 器的任何模式 单机 网络 双机 集群 即上层服务器的损坏 不会影响 SAN 内数据安全 高效地保证了整个 HIS 系统所有数据的安全性 用一台 MSA1000 光纤通道磁盘阵列作为主存储设备 两台数据库服务器通过 FC HBA 连接 到 MSA1000 磁盘阵列上的 内置 8 口 FC SW 光纤通道交换机上 采用 F100 架构形成一个基于 SAN 的存储系统 从而为整个 HIS 系统的良好运 行提供有利保证 MSA1000 光纤通道磁盘阵列上共有 14 个硬盘插槽 此次配置 8 块硬盘 在磁盘阵列的 PORTI 和 PORT2 上各安装 4 块硬盘 将 8 块硬盘做为 ARRAY A 分配给 HIS 系统使用 ARRAY A 包含 8 块 72GB 物理硬盘做成 RAID ADG Advanced Data Guarding 先进数据保护 卷集 分成 1GB 和 413GB 两个逻辑硬盘 1GB 的逻辑盘作为集群系 统的仲裁盘 413GB 的逻辑磁盘作为 HIS 系统 的数据库空间 采用 RAID O l 的方式 使用磁盘阵列上的硬盘 根据数据分析 我院数据量一年大概 产生 20GB 30GB 左右 即 在线数据为 20GB 30GB 左右 出于开发改进程序的目的 还要准备 一个练习库提供给软件人员开发 测试程序 数据大小也为 20GB 30GB 此外为了查询历 史数据 需要在盘柜上准备最近三年的历史库 共计 60GB 90GB 左 右 在线数据库备份需要 20GB 30GB 共计需要 180GB 左右的存储量 RAID 0 1 完全可以满足今后几年的需要 新增一条到 1 病房楼的千兆主干线路 1 病房楼要安装三台 Cisco Catalyst 4 4 备份系统 良好的备份系统是 HIS 系统的数据安全的最后保障 科学合理的备份系统设计不但能实 现良好的备份 还可以尽 量降低系统的成本 冷备服务器 因为双机热备是双机共享磁盘阵列柜 存在单点失效问题 为进一步保证数据的安全性 在双机热备的 基